Definition CWE (Common Weakness Enumeration) Was ist CWE (Common Weakness Enumeration)?

Autor / Redakteur: Dipl.-Ing. (FH) Stefan Luber / Peter Schmitz

Common Weakness Enumeration ist eine frei zugängliche Auflistung typischer Schwachstellen in Software und Hardware. Sie kategorisiert die Schwachstellen und dient als Basis und gemeinsame Sprache zur Identifizierung sicherheitsrelevanter Schwächen. Die Liste wird von der Community gepflegt und von der MITRE Corporation veröffentlicht. Regelmäßig erscheint eine Top-25-Liste mit den 25 bedeutendsten Schwachstellen.

Firma zum Thema

Die Common Weakness Enumeration (CWE) ist eine Auflistung typischer Schwachstellen in Hard- und Software.
Die Common Weakness Enumeration (CWE) ist eine Auflistung typischer Schwachstellen in Hard- und Software.
(Bild: gemeinfrei / Pixabay )

CWE ist die Abkürzung für Common Weakness Enumeration. Es handelt sich um eine von der Community gepflegte und von der MITRE Corporation veröffentlichte Auflistung verschiedener Typen von Schwachstellen in Soft- und Hardware. Die Schwachstellen sind kategorisiert und erhalten eindeutig identifizierbare IDs. Dadurch bildet die Liste eine Grundlage und allgemeingültige Sprache zur Identifikation, Beschreibung, Vorbeugung und Beseitigung typischer Soft- und Hardware-Schwachstellen.

Die MITRE Corporation betreibt die über das Internet frei zugängliche Liste seit 2006. Die aktuelle Version der Liste ist die Version 4.3 und enthält über 900 Schwachstellen. Darunter befinden sich Schwachstellen wie Buffer Overflows, Cross-Site-Scripting, fest einkodierte Passwörter oder unsichere Zufallszahlen. Einsetzbar ist Common Weakness Enumeration beispielsweise für Schwachstellenanalysen in neu entwickelter Software, für Sicherheitstests oder zur Vorbeugung von Risiken bei der Nutzung von Hard- und Software. Große Unternehmen wie Apple oder Microsoft gehören der Common Weakness Enumeration Community an.

Die Ziele der Common Weakness Enumeration

Wichtigstes Ziel der Common Weakness Enumeration ist es, durch Auflistung der Schwachstellen die typische Fehler und Schwächen in Hard- und Software zu vermeiden, noch bevor die betroffenen Produkte in Umlauf kommen. Sicherheitsanalysten, Programmierer oder Entwickler können sich der Liste bedienen und sie für ihre Arbeit verwenden. Schwachstellen lassen sich in einer allgemeingültigen Sprache beschreiben und diskutieren. Darüber hinaus liefert die Auflistung nicht nur die Beschreibungen der typischen Schwächen, sondern auch Beispiellösungen und konzeptionelle Ansätze, wie sie sich beheben lassen.

Einige Beispielschwachstellen der Common Weakness Enumeration

Um Common Weakness Enumeration besser zu verstehen, im Folgenden einige beispielhafte Schwachstellen der über 900-Einträge langen Liste. Jede Schwachstelle erhält eine eindeutige ID in der Form von "CWE-IDXY".

  • CWE-19: Data Handling
  • CWE-121: Stack-based Buffer Overflow
  • CWE-229: Improper Handling of Values
  • CWE-303: Incorrect Implementation of Authentication Algorithm
  • CWE-494: Download of Code without Integrity Check
  • CWE-532: Information Exposure through Log Files
  • CWE-640: Weak Password Recovery Mechanism
  • CWE-760: Use of a One-Way Hash with a Predictable Salt
  • CWE-835: Loop with Unreachable Exit Condition (Infinite Loop)
  • CWE-912: Hidden Functionality (Backdoor)

Über die Internetseite der MITRE ist die Liste frei zugänglich. Sie lässt sich online nach verschiedenen Kriterien filtern, sortieren und durchsuchen oder kann vollständig in Form von HTML-, CSV-, PDF- oder XML-Dateien heruntergeladen werden. Die PDF-Datei der aktuellen Version 4.3 umfasst 2325 Seiten.

Common Weakness Enumeration Top 25

Regelmäßig aktualisiert und veröffentlicht die MITRE die Common Weakness Enumeration Top 25. Sie enthält die 25 als am gefährlichsten eingeschätzten Schwachstellen. In der Top-25-Liste des Jahres 2020 sind beispielsweise die fehlende Authentisierung für kritische Funktionen, die Nutzung fest kodierter Passwörter, das Cross-Site Request Forgery (CSRF), die ungenügende Prüfung von Eingaben oder das Offenlegen sensibler Informationen für nicht autorisierte Anwender enthalten. Mit Hilfe der Top 25 lassen sich Risiken für Schwachstellen realistisch einschätzen, da die Liste in gewisser Weise die Entwicklung der Cyberkriminalität widerspiegelt.

(ID:47067097)

Über den Autor